Configurações de Política de Grupo mais importantes para prevenir violações de segurança
A utilização do Editor de Política de Grupo pode revelar-se um recurso indispensável quando se pretende conceder ou revogar acesso a funcionalidades ou configurações específicas que podem não ser acessíveis através da interface gráfica do utilizador. Esta ferramenta versátil pode atender a uma série de requisitos, incluindo o aprimoramento da segurança do sistema e a personalização das experiências do usuário, tornando-a um componente essencial para a otimização de sistemas baseados em Windows. Com isso em mente, compilamos uma seleção de configurações cruciais de Política de Grupo projetadas para mitigar possíveis ameaças à segurança em dispositivos Windows 11/10.
Antes de se aprofundar na lista abrangente, é essencial ter uma compreensão dos tópicos que serão discutidos. Ao tentar construir um sistema de computador doméstico robusto e seguro para si ou para os seus entes queridos, existem vários domínios cruciais que devem ser abordados. Estes abrangem:
O processo de instalação do software inclui restrições de senha, controles de acesso à rede, recursos de geração de log, suporte a dispositivos USB, funcionalidade de execução de script de linha de comando, bem como a capacidade de desligar ou reiniciar remotamente um computador por meio dos recursos de segurança do Windows.
Certos parâmetros requerem ativação, enquanto outros necessitam de desativação para um desempenho ideal.
Configurações de Política de Grupo mais importantes para prevenir violações de segurança
As configurações fundamentais da Política de Grupo para proteção contra violações de segurança abrangem:
Ative o recurso Segurança do Windows para obter controle aprimorado sobre as configurações de segurança do sistema, incluindo restrições sobre bloqueios de contas, políticas de segurança de rede e controles de execução de aplicativos. Além disso, é recomendado negar acesso a dispositivos de armazenamento removíveis e evitar modificações não autorizadas no registro ou no uso do prompt de comando. Por último, ative o monitoramento de execução de script e a proteção de firewall enquanto desativa a criação de regras de exceção.
Para obter mais informações sobre essas preferências, prossiga com a análise a seguir.
1 Desligue o Windows Installer
As definições de configuração dos computadores podem ser acessadas navegando até “Configuração do Computador” seguido de “Modelos Administrativos”, selecionando “Componentes do Windows” e, por fim, “Windows Installer”.
Uma das medidas de segurança mais críticas a serem consideradas ao confiar um computador a um indivíduo não familiarizado com a verificação da autenticidade de programas, é habilitar o recurso que impede qualquer forma de instalação de software. Para ativar esta função, selecione as opções “Ativado” e “Sempre” no menu suspenso.
Para evitar que os usuários instalem ou executem aplicativos em um sistema operacional Windows, existem vários métodos que podem ser empregados. Uma dessas abordagens é através do uso de configurações de Política de Grupo, que permitem aos administradores restringir a instalação e execução de software especificando listas de aplicativos permitidos ou bloqueados. Além disso, a implementação do AppLocker, recurso introduzido no Windows 7, permite a criação de regras para editores de aplicativos e caminhos de arquivos, aumentando ainda mais o controle sobre a instalação e execução de programas. Outra opção envolve a utilização de soluções de software de terceiros, como suítes de proteção de endpoint ou ferramentas de gerenciamento de desktop, que fornecem meios adicionais de controle de aplicativos e recursos de monitoramento. Em última análise, a seleção de um método apropriado dependerá de vários fatores, incluindo necessidades organizacionais, medidas de segurança existentes e recursos disponíveis.
2 Proibir o uso do Restart Manager
O local acima mencionado refere-se à configuração das configurações do computador, especificamente aquelas relacionadas às políticas administrativas para vários componentes do sistema operacional. Entre eles está o componente Windows Installer, que se enquadra na subcategoria “Componentes do Windows.
Certos aplicativos podem exigir a reinicialização do sistema para funcionar de maneira ideal ou concluir o procedimento de instalação. Para evitar que software não aprovado seja instalado em seu dispositivo por uma entidade externa, você tem a opção de desabilitar o recurso Restart Manager do Windows Installer. Basta selecionar a opção “Reiniciar Gerenciador desligado” na lista suspensa.
3 Sempre instale com privilégios elevados
As configurações para gerenciar configurações do computador, especificamente aquelas relacionadas a políticas e procedimentos administrativos, são organizadas em uma subcategoria chamada “Componentes do Windows”. Dentro desta categoria, existe outra subcategoria conhecida como “Windows Installer”, que se refere ao controle de vários aspectos dos processos de instalação de software em seu dispositivo.
As configurações de configuração do usuário, modelos administrativos e componentes do Windows estão localizadas no componente Windows Installer do sistema operacional Windows.
Habilitar esta configuração é crucial para evitar a instalação não autorizada de aplicativos em seu computador. Certos arquivos executáveis requerem a instalação de permissões administrativas, enquanto outros não necessitam dessa autorização. Os cibercriminosos frequentemente exploram essas vulnerabilidades empregando técnicas de acesso remoto para introduzir sub-repticiamente software em sistemas inocentes. É essencial ativar esta medida através das configurações do computador e da configuração do usuário.
4 Execute apenas aplicativos especificados do Windows
Configuração do usuário > Modelos administrativos > Sistema
A ativação desta configuração permite restringir a execução não autorizada de aplicativos, especificando uma lista de programas aprovados com permissão para execução em seu dispositivo. Para utilizar este recurso, ative-o e selecione a opção “Mostrar” para exibir uma lista abrangente de software autorizado.
5 A senha deve atender aos requisitos de complexidade
O local para configurar políticas de senha em um computador executando o sistema operacional Windows pode ser encontrado em “Configuração do Computador” > “Configurações do Windows” > “Configurações de Segurança” > “Políticas de Conta”, e especificamente na subcategoria “Política de Senha”.
Fortalecer a senha é de suma importância para proteger o computador contra possíveis ameaças à segurança. As configurações padrão no Windows 11/10 permitem parâmetros de senha relativamente brandos; entretanto, ao ativar critérios mais rigorosos, pode-se habilitar esse recurso para garantir o cumprimento desses padrões.
Pode-se alterar a política de senha em um sistema operacional Windows ajustando vários parâmetros, como comprimento mínimo de senha e requisitos de complexidade, por meio do uso de Política de Grupo ou políticas de segurança locais. Isto pode melhorar as medidas de segurança para contas de usuários e proteger contra acesso não autorizado.
6 Limite e duração do bloqueio de conta
As configurações para configurar a segurança de um computador podem ser acessadas navegando até “Configuração do Computador” e selecionando “Configurações do Windows”. Nesta seção, você encontrará opções relacionadas a “Segurança”, onde poderá configurar políticas específicas para bloqueios de contas.
A configuração do limite de bloqueio de conta e da duração do bloqueio de conta é crucial para manter as medidas de segurança no sistema do seu computador. A ativação dessas configurações permite a implementação de um mecanismo de bloqueio automático que é acionado após um número predeterminado de tentativas de login malsucedidas, protegendo assim contra acesso não autorizado. Além disso, a configuração Duração do bloqueio da conta determina por quanto tempo esse bloqueio permanece em vigor, fornecendo salvaguardas adicionais para garantir a integridade dos dados do seu sistema.
7 Segurança de rede: não armazene o valor hash do LAN Manager na próxima alteração de senha
O local para definir as configurações do computador em um sistema operacional Windows pode ser encontrado em “Configuração do Computador”, seguido de “Configurações do Windows”. Nesta seção, você encontrará “Configurações de segurança” que contém subcategorias como “Políticas locais”. Dentro da categoria “Políticas Locais”, existe a opção de modificar “Opções de Segurança.
Para aumentar o nível de segurança, é imperativo ativar uma configuração específica conhecida como “armazenar credenciais apenas na memória” dentro do Gerenciador de Rede Local (LAN) ou LM. Isto é particularmente crucial ao utilizar sistemas operacionais como o Windows 11/10, que são propensos a armazenar senhas localmente no dispositivo, aumentando assim a probabilidade de comprometer a segurança. Consequentemente, é altamente recomendável garantir que esse recurso permaneça ativo o tempo todo para mitigar possíveis riscos de segurança.
8 Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM
O local para definir as configurações do computador em um sistema operacional Windows pode ser encontrado em “Configuração do Computador”, seguido de “Configurações do Windows”. Nesta seção, você encontrará a subcategoria “Configurações de segurança”. Ao navegar mais em “Configurações de segurança”, você localizará a categoria de política específica intitulada “Políticas locais”. Finalmente, na categoria “Políticas Locais”, você descobrirá a opção de política específica denominada “Opções de Segurança”.
Em sua configuração padrão, o Windows 10/11 permite que indivíduos não autenticados executem uma série de ações. Como administrador, se você preferir restringir esse acesso em seu(s) dispositivo(s), ativar a opção “Permitir” habilitará esse recurso. Deve-se observar que a ativação desse recurso pode ter implicações para determinados aplicativos e clientes.
9 Segurança de rede: Restringir NTLM: auditar a autenticação NTLM neste domínio
O caminho para acessar a janela de configuração do computador, seguido pela navegação até a guia de configurações do Windows e, em seguida, selecionando a opção de configurações de segurança dentro dela, acessando posteriormente o submenu de políticas locais e, finalmente, chegando à política de opções de segurança é o seguinte: Configuração do Computador > Configurações do Windows > Configurações de segurança > Políticas locais > Opções de segurança
A configuração permite a customização da auditoria de autenticação NTLM, essencial para garantir a proteção das informações confidenciais compartilhadas entre os usuários da rede. Para desativar o processo de auditoria, selecione a opção “Desativar”; entretanto, é recomendado que para computadores domésticos com contas de domínio, a opção “Ativar” seja selecionada.
10 blocos NTLM
O menu “Configuração do Computador” na seção “Modelos Administrativos”, sob o subtítulo “Rede”, contém uma opção de configuração para a “Estação de Trabalho Lanman.
A configuração mencionada facilita a prevenção de ataques de NTLM a pequenas e médias empresas, ocorrência que tem se tornado cada vez mais prevalente na contemporaneidade. Embora habilitar esta medida via PowerShell seja uma opção, o Editor de Política de Grupo Local também contém o parâmetro idêntico. Para ativar este recurso, deve-se selecionar a alternativa “Ativado” entre as opções disponíveis.
11 Eventos do sistema de auditoria
O local para configurar políticas de auditoria em um computador executando o sistema operacional Windows é encontrado em “Configuração do computador” em “Configurações do Windows”, seguido pela seleção de “Configurações de segurança”. Dentro das configurações de segurança você encontrará a opção de configurar “Políticas Locais” e, por fim, dentro das políticas locais, você pode acessar a configuração “Política de Auditoria”.
Por padrão, certas ocorrências significativas não são registradas pelo computador, incluindo alterações na hora do sistema, atividades de inicialização e desligamento, perda de arquivos de auditoria do sistema e incidentes de falha do sistema. Para registrar estes eventos de forma abrangente no log, é necessário ativar esta opção de configuração específica. Isso permite uma análise aprofundada para determinar se algum programa não autorizado de terceiros esteve envolvido em tais ocorrências.
12 Todas as classes de armazenamento removível: negar todo o acesso
As configurações relacionadas ao gerenciamento de acesso ao armazenamento removível em um computador podem ser encontradas em “Configuração do Computador” na subcategoria “Modelos Administrativos” e, além disso, na opção de configuração específica para “Sistema”. Esse local fornece aos administradores a capacidade de controlar vários aspectos de como os dispositivos de armazenamento removíveis são acessados por usuários ou sistemas na rede.
A opção de configuração acima mencionada permite a desativação simultânea de todas as classes e portas USB de um dispositivo computacional. Em circunstâncias em que o computador pessoal é frequentemente deixado sem vigilância num ambiente de trabalho, é aconselhável verificar se esta configuração foi ativada para impedir o acesso não autorizado através da utilização de dispositivos USB para fins de leitura e escrita por outros indivíduos.
13 Todo o armazenamento removível: permitir acesso direto em sessões remotas
A configuração para controlar o acesso a dispositivos de armazenamento removíveis pode ser encontrada no menu “Configuração do Computador”, no subtítulo “Modelos Administrativos”, e posteriormente categorizada como “Sistema”. Esta configuração específica permite controlar a capacidade dos usuários ou sistemas em uma rede de computadores de acessar dispositivos de armazenamento externos, como unidades USB, cartões SD, etc., implementando diversas restrições baseadas em direitos de usuário, políticas de grupo ou outras medidas de segurança.
Nos casos em que alguém não esteja familiarizado com as medidas de segurança de rede e opte por estabelecer uma conexão entre seu computador e um indivíduo desconhecido, as sessões remotas podem apresentar um risco aumentado de comprometimento. Para mitigar tais riscos, é aconselhável desabilitar o acesso direto a dispositivos removíveis em todas as sessões remotas. Ao fazer isso, os usuários têm a capacidade de autorizar ou negar a entrada não autorizada. Notavelmente, desabilitar esse recurso é considerado prudente.
14 Ative a execução de script
A configuração das políticas administrativas relativas à configuração dos componentes do computador, especificamente aqueles relacionados à linguagem de script integrada do sistema operacional Windows, Windows PowerShell, pode ser acessada através de um submenu intitulado “Componentes do Windows” na seção “Configuração do Computador” do Editor de Política de Grupo.
A ativação desse recurso permite que seu computador execute scripts por meio do Windows PowerShell. É recomendável que você opte pela opção “Permitir apenas scripts assinados”. Idealmente, entretanto, você deve evitar executar scripts ou selecionar a opção “Desativar”.
Para ativar ou desativar a execução de scripts do PowerShell, siga estas etapas:1. Abra o menu Iniciar e digite “PowerShell” na barra de pesquisa. Clique com o botão direito nele e selecione “Executar como administrador”.2. Na janela do PowerShell que é aberta, digite o comando “Set-ExecutionPolicy” e pressione Enter. Uma lista suspensa aparecerá com diferentes configurações de política.3. Selecione a configuração de política desejada na lista (ou “Restrito”, que desativa todos os scripts, exceto aqueles assinados por um editor confiável, ou uma das opções menos restritivas, como “AllSigned”, “RemoteSigned” ou “Unrestricted”).4. Pressione Enter novamente para confirmar sua seleção. A nova política entrará em vigor imediatamente.
15 Impedir o acesso às ferramentas de edição do registro
Configuração do usuário > Modelos administrativos > Sistema
O Editor do Registro possui a notável capacidade de modificar uma ampla gama de configurações dentro de um sistema de computação, independentemente de existir uma configuração de interface gráfica do usuário (GUI) disponível nas Configurações do Windows ou no Painel de Controle. Infelizmente, entidades malévolas exploram frequentemente esta capacidade manipulando ficheiros de registo como forma de disseminar software malicioso. Conseqüentemente, é altamente recomendável ativar esta proteção específica para impedir que indivíduos não autorizados obtenham acesso ao Editor do Registro.
16 Impedir acesso ao prompt de comando
Configuração do usuário > Modelos administrativos > Sistema
Você pode executar vários comandos por meio do prompt de comando, além daqueles disponíveis no Windows PowerShell. Portanto, é necessário ativar esta configuração de política específica. Depois de escolher a opção “Ativado”, clique na seta ao lado para revelar o submenu e selecione a opção “Sim”. Esta ação também desativará a funcionalidade de execução de scripts de prompt de comando.
Utilizando configurações de Política de Grupo ou modificações no registro, você tem a opção de ativar ou desativar o acesso ao prompt de comando.
17 Ative a verificação de script
As configurações para ativar ou desativar a proteção em tempo real no Microsoft Defender Antivirus podem ser encontradas em “Configuração do Computador” na seção “Modelos Administrativos”, localizada na subcategoria “Componentes do Windows” de “Microsoft Defender Antivirus”.
Em sua configuração padrão, a Segurança do Windows não examina scripts de forma abrangente em busca de malware ou outras ameaças. Portanto, é aconselhável ativar este recurso para garantir que as defesas do seu sistema sejam capazes de inspecionar todos os arquivos de script presentes no seu dispositivo. Isso é crucial porque scripts podem ser empregados para introduzir códigos prejudiciais em sua máquina. A importância desta configuração persiste em todos os momentos.
18 Firewall do Windows Defender: não permitir exceções
A configuração das configurações do computador, especificamente referentes às políticas administrativas, pode ser encontrada em “Modelos Administrativos”. Nesta seção, há uma subcategoria intitulada “Rede”, que por sua vez contém outra categoria chamada “Firewall do Windows Defender”. Neste último, você encontrará a política específica conhecida como “Perfil de Domínio” que controla certos aspectos da segurança da rede no seu dispositivo.
Computer Configuration > Administrative Templates > Network > Network Connections > Windows Defender Firewall > Standard Profile
O Firewall do Windows Defender permite a personalização do tráfego de rede de entrada e saída com base nas preferências individuais. No entanto, é recomendável ter um conhecimento profundo dos programas em questão antes de modificar essas configurações. Nos casos em que existe incerteza em relação a tipos específicos de tráfego, a ativação deste recurso irá restringi-los adequadamente.
Fique à vontade para fornecer sugestões ou recomendações adicionais que você possa ter.
A aplicação da Política de Grupo do Plano de Fundo da Área de Trabalho parece ser limitada em determinados sistemas operacionais Windows, resultando em uma falta de consistência na aparência e configuração dos planos de fundo da área de trabalho nas contas de usuário de uma organização ou rede. Esse problema pode surgir devido a vários fatores, como permissões insuficientes, configurações conflitantes ou problemas de compatibilidade com versões específicas do Windows. Para resolver este problema, poderá ser necessário verificar se a política foi configurada e aplicada corretamente e garantir que todos os utilizadores afetados tenham os privilégios apropriados necessários para a sua implementação. Além disso, atualizar para uma versão mais recente do Windows ou utilizar métodos alternativos de gerenciamento das configurações de plano de fundo da área de trabalho também pode fornecer uma solução para esse problema.
Quais são as três práticas recomendadas para GPOs?
Ao implementar Objetos de Política de Grupo (GPO), há diversas abordagens recomendadas para garantir desempenho e segurança ideais. Em primeiro lugar, deve-se abster-se de modificar as configurações sem a devida compreensão das suas implicações. Em segundo lugar, desabilitar ou habilitar configurações de firewall não é recomendado, pois pode permitir acesso não intencional. Por último, a intervenção manual pode ser necessária em alguns casos para forçar a aplicação de alterações.
Qual configuração de Política de Grupo você deve definir?
Em essência, a proficiência na edição de políticas de grupo local permite personalizar as configurações dentro do referido editor. Por outro lado, a aquiescência às normas estabelecidas pode ser suficiente para aqueles que não possuem esse conhecimento. No entanto, os indivíduos que procuram fortalecer a segurança do seu sistema beneficiariam da leitura deste guia, que inclui parâmetros cruciais de segurança da política de grupo, essenciais para melhorar as medidas de segurança.
Para restaurar todas as configurações de política de grupo local em um sistema operacional Windows para seu estado padrão, siga estas etapas:1. Pressione a tecla “Windows” + “X” no teclado e selecione “Editor de Política de Grupo Local” no menu que aparece. Alternativamente, você pode pesquisá-lo usando a barra de pesquisa do Windows.2. No painel esquerdo da janela, localize e expanda a pasta “Configuração do Computador”. Em seguida, navegue até a pasta “Modelos Administrativos” abaixo dela.3. Na pasta “Modelos Administrativos”, localize e clique na pasta “Componentes do Windows”. Em seguida, clique na pasta “Configurações do Windows”.4. Por fim, clique duas vezes na pasta “ResetSettings” para iniciar o processo de restauração de todos os locais
*️⃣ Link da fonte: